943.03

Loi fédérale sur les services de certification dans le domaine de la signature électronique

(Loi sur la signature électronique, SCSE)

du 19 décembre 2003 (Etat le 1er août 2008)

L'Assemblée fédérale de la Confédération suisse,

vu les art. 95, al. 1, et 122, al. 1, de la Constitution1, vu le message du Conseil fédéral du 3 juillet 20012,

arrête:

Section 1 Dispositions générales

 

1 La présente loi règle:

a.
les conditions auxquelles les fournisseurs de services de certification dans le domaine de la signature électronique peuvent être reconnus;
b.
les droits et les devoirs des fournisseurs de services de certification reconnus.

2 Elle vise à:

a.
promouvoir la fourniture de services de certification électronique sûrs à un large public;
b.
favoriser l'utilisation des signatures électroniques qualifiées;
c.
permettre la reconnaissance internationale des fournisseurs de services de certification et de leurs prestations.

 

Au sens de la présente loi, on entend par:

a.
signature électronique: données électroniques jointes ou liées logiquement à d'autres données électroniques et qui servent à vérifier leur authenticité;
b.
signature électronique avancée: signature électronique qui satisfait aux exigences suivantes:
1.
être liée uniquement au titulaire,
2.
permettre d'identifier le titulaire,
3.
être créée par des moyens que le titulaire peut garder sous son contrôle exclusif,
4.
être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable;
c.
signature électronique qualifiée: signature électronique avancée fondée sur un dispositif sécurisé de création de signature au sens de l'art. 6, al. 1 et 2, et sur un certificat qualifié valable au moment de sa création;
d.
clé de signature: données uniques telles que des codes ou des clés cryptographiques privées que le titulaire utilise pour composer une signature électronique;
e.
clé de vérification de signature: données telles que des codes ou des clés cryptographiques publiques utilisées pour vérifier une signature électronique;
f.
certificat qualifié: certificat numérique qui remplit les conditions de l'art. 7;
g.
fournisseur de services de certification (fournisseur): organisme qui certifie des données dans un environnement électronique et qui délivre à cette fin des certificats numériques;
h.
organisme de reconnaissance: organisme qui, selon les règles de l'accréditation1, est habilité à reconnaître et à surveiller les fournisseurs.

1 LF du 6 oct. 1995 sur les entraves techniques au commerce, LETC (RS 946.51) et les dispositions d'exécution pertinentes.


Section 2 Reconnaissance des fournisseurs

 

1 Peuvent être reconnus comme fournisseurs les personnes physiques ou morales qui:

a.
sont inscrites au registre du commerce;
b.
sont en mesure de délivrer et de gérer des certificats qualifiés conformément aux exigences de la présente loi;
c.
emploient du personnel possédant les connaissances, l'expérience et les qualifications nécessaires;
d.
utilisent des systèmes et des produits informatiques fiables et sûrs, notamment des dispositifs de création de signatures;
e.
possèdent des ressources ou des garanties financières suffisantes;
f.
contractent les assurances nécessaires à la couverture de la responsabilité prévue à l'art. 16 et des frais que peuvent entraîner les mesures prévues à l'art. 13, al. 2 et 3;
g.
assurent le respect du droit applicable, notamment de la présente loi et des dispositions d'exécution pertinentes.

2 Les conditions prévues à l'al. 1 sont également applicables aux fournisseurs étrangers. Lorsqu'un fournisseur étranger a déjà obtenu une reconnaissance de la part d'un organisme de reconnaissance étranger, l'organisme de reconnaissance suisse peut le reconnaître s'il est prouvé que:

a.
la reconnaissance a été octroyée selon le droit étranger;
b.
les règles du droit étranger applicables à l'octroi de la reconnaissance sont équivalentes à celles du droit suisse;
c.
l'organisme de reconnaissance étranger possède des qualifications équivalentes à celles qui sont exigées d'un organisme de reconnaissance suisse;
d.
l'organisme de reconnaissance étranger garantit sa collaboration à l'organisme de reconnaissance suisse pour la surveillance du fournisseur en Suisse.

3 Les unités administratives de la Confédération, des cantons et des communes peuvent être reconnues comme fournisseurs sans avoir à s'inscrire au registre du commerce.


 

1 Le Conseil fédéral désigne l'organisme d'accréditation des organismes de reconnaissance (organisme d'accréditation).

2 Si aucun organisme n'a été accrédité pour effectuer des reconnaissances, le Conseil fédéral désigne l'organisme d'accréditation ou un autre organisme compétent comme organisme de reconnaissance.


 

1 Les organismes de reconnaissance annoncent à l'organisme d'accréditation les fournisseurs qu'ils reconnaissent.

2 L'organisme d'accréditation tient à la disposition du public la liste des fournisseurs reconnus.


Section 3 Elaboration et utilisation de clés de signature et de vérification de signature

 

1 Le Conseil fédéral règle l'élaboration des clés de signature et de vérification de signature pouvant faire l'objet de certificats qualifiés au sens de la présente loi. Ce faisant, il veille à assurer un degré de sécurité élevé, conforme à l'évolution de la technique.

2 Les dispositifs de création de signature doivent au moins:

a.
garantir que la clé de signature utilisée pour l'élaboration de la signature ne puisse pratiquement se rencontrer qu'une seule fois et que sa confidentialité soit suffisamment garantie;
b.
assurer avec une marge de sécurité suffisante que la clé de signature utilisée pour la création de la signature ne puisse être trouvée par déduction et que la signature soit protégée contre toute falsification par les moyens techniques disponibles;
c.
garantir que la clé de signature utilisée pour la création de la signature puisse être protégée de manière fiable par le titulaire légitime contre toute utilisation abusive.

3 Lors de la mise en place du processus de vérification de la signature, il convient de veiller à ce que les exigences suivantes soient remplies avec une marge de sécurité suffisante:

a.
les données utilisées pour vérifier la signature correspondent aux données affichées à l'intention du vérificateur;
b.
la signature est vérifiée de manière sûre et le résultat de cette vérification est correctement affiché;
c.
le vérificateur peut, si nécessaire, déterminer de manière sûre le contenu des données signées;
d.
l'authenticité et la validité du certificat requis lors de la vérification de la signature sont vérifiées de manière sûre et le résultat de cette vérification est correctement affiché;
e.
l'identité du titulaire de la clé de signature est correctement affichée;
f.
l'utilisation d'un pseudonyme est clairement indiquée;
g.
tout changement ayant une influence sur la sécurité peut être détecté.

Section 4 Certificats qualifiés

 

1 Tout certificat qualifié doit contenir au moins les informations suivantes:

a.
le numéro de série;
b.
la mention qu'il est délivré à titre de certificat qualifié;
c.
le nom ou le pseudonyme de la personne physique titulaire de la clé de vérification de signature; s'il existe un risque de confusion, le nom doit être complété par un élément distinctif;
d.
la clé de vérification de signature;
e.
la durée de validité;
f.
le nom, le pays d'établissement et la signature électronique qualifiée du fournisseur qui délivre le certificat;
g.
la mention du caractère reconnu ou non du fournisseur et, s'il est reconnu, le nom de l'organisme de reconnaissance.

2 Le certificat doit également contenir les éléments suivants:

a.
les qualités spécifiques du titulaire de la clé de signature, telle que la qualité de représenter une personne morale déterminée;
b.
le domaine d'utilisation du certificat;
c.
la valeur des transactions pour lesquelles le certificat peut être utilisé.

3 Le Conseil fédéral règle le format des certificats.


Section 5 Devoirs des fournisseurs reconnus

 

1 Les fournisseurs reconnus doivent exiger des personnes qui demandent un certificat qualifié qu'elles se présentent en personne et qu'elles apportent la preuve de leur identité. S'agissant de l'art. 7, al. 2, let. a, les pouvoirs du représentant doivent faire l'objet d'une vérification; les renseignements professionnels ou autres relatifs à cette personne doivent être confirmés par l'organisme compétent.

2 Le Conseil fédéral détermine les documents de nature à prouver l'identité et, le cas échéant, les qualités des personnes qui demandent un certificat. Il peut, à certaines conditions, prévoir l'exemption de l'obligation de se présenter en personne.

3 Les fournisseurs reconnus doivent en outre s'assurer que les personnes qui demandent un certificat qualifié possèdent la clé de signature qui s'y rapporte.

4 Ils peuvent déléguer leur tâche d'identification à des tiers (bureaux d'enregistrement). Ils répondent de l'exécution correcte de cette tâche par le bureau d'enregistrement.


 

1 Les fournisseurs reconnus doivent tenir à la disposition du public leurs conditions contractuelles générales et des informations sur leur politique de certification.

2 Ils doivent informer leurs clients des conséquences de l'utilisation abusive de leur clé de signature, au plus tard lors de la délivrance des certificats qualifiés, ainsi que des dispositions à prendre, selon les circonstances, pour assurer la confidentialité de leur clé de signature.

3 Ils tiennent un journal de leurs activités. Le Conseil fédéral règle la durée pendant laquelle le journal et les documents qui s'y rapportent doivent être conservés.


 

1 Les fournisseurs reconnus annulent immédiatement les certificats qualifiés:

a.
si le titulaire ou son représentant le demande;
b.
s'il s'avère qu'ils ont été obtenus de manière frauduleuse;
c.
s'ils ne permettent plus de garantir le lien entre une clé de vérification de signature et une personne.

2 En cas d'annulation sur demande selon l'al. 1, let. a, les fournisseurs s'assurent que le requérant a qualité pour demander l'annulation.

3 Les fournisseurs informent immédiatement les titulaires de certificats qualifiés de l'annulation de ces derniers.


 

1 Tout fournisseur reconnu garantit aux intéressés de pouvoir vérifier de façon fiable, en tout temps et selon une procédure usuelle, la validité de tous les certificats qualifiés qu'il aura délivrés.

2 Il peut en outre offrir un service d'annuaire permettant aux intéressés de rechercher et de consulter les certificats qualifiés qu'il aura délivrés. Un certificat n'est inscrit dans cet annuaire qu'à la demande de son titulaire.

3 Les pouvoirs publics peuvent consulter ces données gratuitement.

4 Le Conseil fédéral détermine la durée minimale pendant laquelle doit demeurer possible la vérification des certificats qualifiés qui ne sont plus valables.


 

Les fournisseurs reconnus délivrent, sur demande, une attestation munie de leur signature électronique qualifiée aux fins d'établir l'existence de données numériques à un moment précis.


 

1 Les fournisseurs reconnus annoncent en temps utile à l'organisme d'accréditation la cessation de leur activité. Ils lui annoncent immédiatement toute commination de faillite qui leur a été notifiée.

2 L'organisme d'accréditation charge un autre fournisseur reconnu de tenir la liste des certificats qualifiés valables, échus ou annulés et de conserver le journal de ses activités ainsi que les pièces justificatives correspondantes. Le Conseil fédéral désigne l'organisme compétent pour reprendre ces tâches lorsqu'il n'y a pas de fournisseur reconnu. Le fournisseur reconnu qui cesse son activité supporte les frais qui en résultent.

3 L'al. 2 est également applicable en cas de faillite d'un fournisseur reconnu.


 

1 Les fournisseurs reconnus et les bureaux d'enregistrement qu'ils ont mandatés ne peuvent traiter que les données personnelles nécessaires à l'accomplissement de leurs tâches. Tout commerce de ces données est interdit.

2 Au surplus, la législation sur la protection des données est applicable.


Section 6 Surveillance des fournisseurs reconnus

 

1 La surveillance des fournisseurs reconnus est assurée par les organismes de reconnaissance selon les règles de l'accréditation1.

2 Lorsqu'un organisme de reconnaissance retire la reconnaissance d'un fournisseur, il l'annonce immédiatement à l'organisme d'accréditation. L'art. 13, al. 2, est applicable.


1 LF du 6 oct. 1995 sur les entraves techniques au commerce, LETC (RS 946.51) et les dispositions d'exécution pertinentes.


Section 7 Responsabilité

 

1 Lorsque des fournisseurs contreviennent à des obligations découlant de la présente loi ou des dispositions d'exécution, ils répondent du dommage causé au titulaire d'une clé de signature et aux tiers qui se sont fiés à un certificat qualifié valable.

2 Il leur incombe d'apporter la preuve qu'ils ont respecté les obligations découlant de la présente loi et des dispositions d'exécution.

3 Les fournisseurs ne peuvent exclure leur responsabilité découlant de la présente loi non plus que celle de leurs auxiliaires. Ils ne répondent toutefois pas du dommage résultant de l'inobservation ou de la violation d'une restriction de l'utilisation du certificat (art. 7, al. 2).


 

Lorsque les organismes de reconnaissance au sens de l'art. 2, let. h, contreviennent à des obligations découlant de la présente loi et des dispositions d'exécution, ils répondent du dommage causé au titulaire de la clé de signature et aux tiers qui se sont fiés à un certificat qualifié valable. L'art. 16, al. 2 et 3, est applicable par analogie.


 

Les actions prévues par la présente loi se prescrivent par un an à compter du jour où la partie lésée a eu connaissance du dommage et de l'identité de la personne qui en est l'auteur et, dans tous les cas, par dix ans à compter du jour où le fait dommageable s'est produit. Les prétentions résultant d'un contrat sont réservées.


Section 8 Conventions internationales

 

1 Pour faciliter l'utilisation et la reconnaissance juridique internationales des signatures électroniques, le Conseil fédéral peut conclure des conventions internationales, notamment sur:

a.
la reconnaissance des signatures électroniques et des certificats;
b.
la reconnaissance des fournisseurs et l'accréditation des organismes de reconnaissance;
c.
la reconnaissance des essais et des évaluations de conformité;
d.
la reconnaissance des signes de conformité;
e.
la reconnaissance des systèmes d'accréditation et des organismes accrédités;
f.
l'octroi de mandats de normalisation à des organismes internationaux de normalisation, dans la mesure où les dispositions sur la signature électronique renvoient à des normes techniques déterminées ou lorsqu'un tel renvoi est prévu;
g.
l'information et la consultation concernant l'élaboration, l'adoption, la modification et l'application de prescriptions ou de normes techniques.

2 Le Conseil fédéral arrête les dispositions d'exécution des conventions internationales portant sur les domaines énumérés à l'al. 1.

3 Il peut déléguer à des organismes privés des activités relatives à l'information et à la consultation pour ce qui est de l'élaboration, de l'adoption et de la modification de dispositions et de normes techniques sur la signature électronique et prévoir une rémunération à ce titre.


Section 9 Dispositions finales

 

1 Le Conseil fédéral édicte les dispositions d'exécution. Il tient compte du droit international pertinent et peut déclarer applicables des normes techniques internationales.

2 Le Conseil fédéral peut charger l'Office fédéral de la communication d'édicter des prescriptions administratives et techniques.

3 Afin d'atteindre le but de la loi, il peut charger une unité de l'administration de délivrer des certificats qualifiés couvrant aussi les rapports juridiques de droit privé ou de participer à l'entreprise d'un fournisseur privé.


 

La modification du droit en vigueur est réglée en annexe.


 

1 Abrogé par le ch. II 55 de la LF du 20 mars 2008 relative à la mise à jour formelle du droit fédéral, avec effet au 1er août 2008 (RO 2008 3437 3452; FF 2007 5789).


 

1 La présente loi est sujette au référendum.

2 Le Conseil fédéral fixe la date de l'entrée en vigueur.


Date de l'entrée en vigueur: 1er janvier 20053


Annexe

(art. 21)

Modification du droit en vigueur

Les lois mentionnées ci-après sont modifiées comme suit:

1


1 Les mod. peuvent être consultées au RO 2004 5085.



1 RS 101
2FF 2001 5423
3 ACF du 3 déc. 2004 (RO 2004 5094).

Remarques et observation: Centre des publications officielles
Retour vers le haut de la pageDernière actualisation: 26.11.2014